Gigabírságok az adatvédelmi hatóságoktól 

2018. március 01. csütörtök - 09:18 / piacesprofit.hu
  •    

Május 25-étől az Unió valamennyi tagországában alkalmazandók lesznek az új EU-s adatvédelmi rendelet (GDPR) szigorú szabályai, amelyek nemteljesítése esetén komoly, akár 20 millió Euró vagy azt meghaladó összegű bírsággal is számolhatnak az adatkezelést végzők. 

Sokak számára meglepő, de az Európai Uniós tagországok adatvédelmi hatóságai már a közelmúltban is kiszabtak rendkívül nagy összegű bírságokat adatvédelmi jogsértésekért. Magyarországon a jelenleg kiszabható maximális bírság összeg 20 millió forint, amelyet az adatvédelmi hatóság (NAIH) néhány esetben alkalmazott. Számos esetben szabott ki a hatóság több millió forintos bírságot is (pl. direkt marketing tevékenységet, követeléskezelést végző társaságokra). Május 25-étől azonban a bírság maximum összege hazánkban is 20 millió Euró, azaz hatmilliárd forint összegű is lehet.

eu zászló

Kép:EU

Az alábbiakban az eddigi, kiemelkedően nagy összegű európai bírságokról következik egy rövid összefoglaló, kezdve az eddig legnagyobb összegű adatvédelmi bírsággal. 

Olaszország

Az olasz adatvédelmi hatóság 2017 első negyedévében szabta ki az Európai Unióban alkalmazott eddigi legmagasabb összegű bírságot. Összesen több mint 11 millió Euró (3.4 milliárd(!) forint) összegű büntetést rótt ki öt vállalkozásra. Az öt vállalkozás közül az egyik ­– egy Egyesült Királyságbeli cég – 5.88 millió Euró (több mint 1.8 milliárd forint) összegű bírságot kapott, a többi – olaszországi – vállalkozással szemben 850.000 Euró (kb. 265 millió forint) és 1.6 millió Euró (mintegy 500 millió forint) összeg közötti bírságot szabott ki az olasz hatóság.

Az adatvédelmi hatósági eljárásra egy pénzmosás gyanúja miatt folyó rendőrségi nyomozás kapcsán került sor. Az adatvédelmi hatóság megállapítása szerint a társaságok Kínába irányuló átutalásokat hajtottak végre különböző személyek nevében az ő személyes adataikat felhasználva. A hatóság megállapítása szerint az átutalásokat úgy tüntették fel, mintha a magánszemélyek eszközölték volna azokat, azonban ezek a személyek a tranzakciókról nem tudtak, így a hozzájárulásuk nélkül, jogellenesen használták fel az átutalásokhoz a személyes adataikat.

GDPR: Hogyan induljunk el, és mit lépjünk meg a májusi határidőig?
Már csak alig néhány hónapja maradt a vállalakozásoknak a felkészülésre, mielőtt már élesben is alkalmazni kell az uniós adatvédelmi irányelvet (GDPR). Még most sincs késő nekiállni a felkészülésnek, szakértőnk segítségével bemutatjuk, hogy milyen lépéseket kell megtennie annak, aki nem akar milliárdos bírságot kockáztatni!

Az olasz hatóságok szerint a társaságok az átutalásokat olyan módon hajtották végre, hogy az összegek a pénzmosási törvények által megszabott – bizonyos ellenőrzési kötelezettségeket kiváltó – határérték alattiak legyenek és ezen átutalásokhoz használták fel az öt társaságok egyike által birtokolt adatbázisban található személyes adatokat, azt a látszatot keltve, mintha magánszemélyek átutalásairól lenne szó.

Az adatvédelmi hatóság álláspontja szerint az adatvédelmi jogsértés abban nyilvánul meg, hogy a természetes személyek hozzájárulása nélkül használták fel az átutalásokhoz a személyes adataikat, továbbá a jogsértést egy „jelentős méretű és fontosságú adatbázis tekintetében” követték el.

Az adatvédelmi hatóság a bírság összegét az alábbiak szerint állapította meg:

  • egyrészt 10.000 Euró büntetést számolt minden egyes természetes személy tekintetében, akinek a jogait megsértették (a hozzájárulásra vonatkozó szabályok megsértése esetén ez a minimum bírság összeg);
  • másrészt további 50.000 Euró összegű bírságot alkalmazott azért, mert a jogsértés „jelentős méretű és fontosságú adatbázisra” vonatkozott.

Tekintettel arra, hogy a társaságok egyike 583 személy személyes adatait használta fel a hatóság megállapítása szerint jogellenesen, 583 x 10.000 Euró + 50.000 Euró, azaz összesen 5.88 millió Euró összegű bírságot szabott ki vele szemben. Ez a bírság összeg már lényegében a GDPR által lehetővé tett nagyságrendben mozog, jóllehet a bírság összegének kiszabásakor a hatóság azt is tekintetbe vette, hogy álláspontja szerint a pénzmosási szabályok súlyos megsértése is megvalósult.

Hírlevél-feliratkozás – kötelező-e a kétlépéses hozzájárulás a GDPR alapján?
A kétlépéses hírlevél-feliratkozás indokául és előnyeként általában azt emelik ki az e-mail-marketing-szakemberek, hogy egyértelmű azonosítással segít elkerülni a spam-feliratkozókat, minimalizálja az adattisztítási munkát, növeli a feliratkozók elhivatottságát, és maximalizálja a konverziót. Hátránya viszont az, hogy kevesebb feliratkozót hoz. Tényleg szükséges-e azonban a GDPR alapján a dupla megerősítéses hírlevél-feliratkozás? Erről kérdeztük dr. Horváth Katalint, a Sár és Társai Ügyvédi Iroda e-kereskedelemmel foglalkozó partner ügyvédjét.

Spanyolország

A spanyol adatvédelmi hatóság 2017 szeptemberében 1.2 millió Euró (kb. 372 millió forint) összegű bírságot szabott ki a Facebook-ra. A hatóság szerint a társaság összességében két „súlyos” és egy „nagyon súlyos” adatvédelmi jogsértést követett el és a két súlyos jogsértésért 300-300.000 Euro összegű bírságot, míg a nagyon súlyos jogsértésért 600.000 Euró büntetést szabott ki.

A hatóság álláspontja szerint a jogsértések az alábbiak voltak:

  • a hatóság megállapítása szerint a nagyon súlyos jogsértést az jelentette, hogy a Facebook marketing tevékenységhez használt fel érzékeny személyes adatokat (pl. böngészési szokások) az érintett személyek kifejezett hozzájárulása nélkül;
  • a társaság különleges (pl. világnézetre, vallási meggyőződésre és személyes preferenciákra, pl. böngészésre vonatkozó) adatokat gyűjtött olyan módon a saját és más társaságok honlapjáról, hogy nem tájékoztatta előzetesen az érintett személyeket az adatok felhasználásának módjáról és az adatkezelés céljáról;
  • nem volt teljeskörű és kellően világos a társaság adatkezelési tájékoztatása, így nem megfelelően szerezte be a hozzájárulásokat;
  • a társaság nem megfelelően tájékoztatta az érintetteket a „sütik” használatáról (a társaság böngészési adatokat gyűjtött a Facebook-on regisztráltakról, amikor azok más társaságok oldalait látogatták meg, illetőleg a Facebook-on nem regisztráltakról, akik legalább egyszer meglátogatták a Facebook oldalát);
  • a társaság a személyes adatok törlésére vonatkozó kötelezettségének nem tett eleget azáltal, hogy legalább 17 hónapig tovább kezelte azon személyek adatait, akik törölték magukat a Facebook-ról és kérték az adataik törlését.

A tárgyban a spanyol adatvédelmi hatóság kiadott egy rövid, angol nyelvű sajtóközleményt is, amelyet ide kattintva érhet el.

GDPR: nehéz az átállás, de megéri
A vállalkozások mindössze 15 százaléka véli úgy, hogy a májusi határidőre teljes mértékben képes lesz megfelelni az új európai uniós adatvédelmi rendelet, a GDPR követelményeinek – derül ki a Deloitte felméréséből. A cégek számára komoly kihívást jelent a felkészülés, azonban jelentős üzleti előnyöket is hozhat az átállás az új adatkezelési gyakorlatra.

Egyesült Királyság

A szigetország adatvédelmi hatósága (ICO) 2017-ben összesen 4.9 millió font (mintegy 1.8 milliárd forint) összegben szabott ki bírságot. 2016-ban 35 esetben rótt ki bírságot, közel 3.3 millió font (mintegy 1.2 milliárd forint) összegben.

Az ICO 2015-ben „csupán” 18 esetben bírságolt, valamivel több, mint 2 millió font (kb. 720 millió forint) összegben, míg 2014-ben mindössze 1.152.500 font (kb. 415 millió forint) összegben szabott ki bírságot adatvédelmi jogsértésekért.

Jól látható tehát, hogy a bírságok száma és összege összességében növekvő tendenciát mutat.

Az ICO által eddig kiszabott legmagasabb összegű bírság 400.000 font volt (kb. 144 millió forint), amit egy telekommunikációs cég kapott egy olyan, 2015-ben történt hacker támadás miatt, amelynek során 150.000 ügyfél személyes adatai kerültek jogosulatlanok kezébe. A kiszabható maximum bírság az Egyesült Királyságban 500.000 font és ehhez képest szabott ki a hatóság 400.000 font összegű büntetést. Kérdés, hogy a GDPR alkalmazandósága esetében vajon milyen összegű bírságot kapott volna a telekommunikációs cég? Annyi nagy valószínűséggel állítható, hogy 400.000 font összegnél jóval magasabb lett volna a bírság összege, feltehetőleg több millió fontra rúgott volna.

Egy másik esetben az ICO 300.000 font (kb. 108 millió forint) összegű bírságot szabott ki egy pénzügyi vállalkozással szemben, amely 8.7 millió alkalommal intézett „automata” hívásokat természetes személyekhez azok előzetes hozzájárulása nélkül.

Szerző:

Kovács Zoltán Balázs (LL.M.),

Partner,

Szecskay Ügyvédi Iroda

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Az adatvédelmi rendelettel (GDPR) kapcsolatban további hasznos információkat talál az eugdpr.blog.hu oldalon.

Feliratkozom a(z) Info & tech téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek